152-ФЗ для гостиниц и отелей: какие документы нужны

Гостиницы обрабатывают обширный массив персональных данных. При регистрации гость предоставляет паспортные данные, адрес постоянного места жительства, даты заезда и выезда. Для бронирования собираются ФИО, номер телефона, адрес электронной почты, данные банковской карты.

Дополнительно гостиницы могут обрабатывать данные о предпочтениях гостя (тип номера, питание, аллергии), историю визитов в рамках программ лояльности. Данные об аллергиях и состоянии здоровья относятся к специальным категориям ПДн.

Гостиницы обязаны передавать сведения о гостях в МВД для миграционного учета, что является самостоятельным основанием обработки ПДн в силу закона. Это требование Постановления Правительства РФ N 1853.

Регистрация граждан РФ в гостинице является обязательной и регулируется Правилами предоставления гостиничных услуг (ПП РФ N 1853). Гостиница обязана зарегистрировать гостя при заселении и направить сведения в МВД.

Для регистрации гость предъявляет паспорт или иной документ, удостоверяющий личность. Данные вносятся в регистрационную карту и передаются в систему «Мир» МВД. Обработка ПДн для этих целей не требует согласия гостя — основанием является исполнение законодательного требования (п. 2 ч. 1 ст. 6 закона 152-ФЗ).

Однако для иных целей обработки — маркетинговые рассылки, программы лояльности, размещение отзывов — согласие гостя обязательно.

Размещение иностранных граждан требует постановки на миграционный учет в течение одного рабочего дня. Гостиница как принимающая сторона направляет уведомление в территориальный орган МВД. Обрабатываются данные миграционной карты и визы.

При трансграничной передаче данных (например, в головной офис международной сети) гостиница обязана соблюдать требования статьи 12 закона 152-ФЗ. Передача допускается в страны, обеспечивающие адекватную защиту прав субъектов ПДн, либо при наличии письменного согласия гостя.

Данные иностранных гостей хранятся не менее одного года после выезда. Гостиница обязана обеспечить их защиту на том же уровне, что и данные граждан РФ.

Участие в программе лояльности предполагает обработку расширенного набора ПДн: история бронирований, предпочтения, контактные данные для рассылок. Для этого требуется отдельное согласие гостя, отличное от согласия на регистрацию.

Согласие на участие в программе лояльности должно быть конкретным: указаны цели обработки (маркетинг, персонализация, рассылки), перечень данных и срок действия. Гость вправе отказаться от программы лояльности без потери права на проживание.

Рассылки о специальных предложениях по электронной почте и SMS допускаются только при наличии согласия. При использовании агрегаторов рассылок (Mailchimp, UniSender) необходимо поручение на обработку ПДн с указанием требования о локализации данных в РФ.

При бронировании через сайт гостиницы действуют стандартные требования: политика конфиденциальности, чекбокс согласия, cookie-баннер. Форма бронирования не должна собирать избыточные данные — только необходимые для оформления бронирования.

При работе с OTA-платформами (Островок, Суточно, Яндекс Путешествия) гостиница получает данные гостей от третьих лиц. Правовым основанием является исполнение договора, заключенного с гостем через платформу. Рекомендуется проверить, что OTA-платформа корректно получает согласие гостя.

Данные банковских карт при онлайн-бронировании не должны храниться на серверах гостиницы. Обработка платежей передается сертифицированному платежному провайдеру по стандарту PCI DSS.

Видеозаписи являются персональными данными, если позволяют идентифицировать физическое лицо. Гостиница обязана разместить информационные таблички о ведении видеонаблюдения во всех зонах охвата камер.

Видеонаблюдение допускается в общественных зонах: лобби, коридоры, парковка, вход. Установка камер в номерах и санитарных помещениях запрещена. Правовым основанием является законный интерес оператора в обеспечении безопасности (п. 7 ч. 1 ст. 6 закона 152-ФЗ).

Срок хранения видеозаписей определяется внутренним регламентом, обычно составляет от 5 до 30 суток. Более длительное хранение допускается при наличии обоснованной необходимости. Факт видеонаблюдения обязательно указывается в политике обработки ПДн.